Apple stopft „Goto fail“-Lücke in Mac OS

Apple hat eine kritische SSL-Lücke mit Verspätung auch in seinem Desktop-Betriebssystem Mac OS X Mavericks durch ein Update geschlossen, das auch eine Reihe weiterer Aktualisierungen enthält. Während es in seinem Mobilbetriebssystem iOS 7 die inzwischen als „Goto fail“-Lücke bekannte Schwachstelle schon mehrere Tage früher beseitigte, blieben Millionen von Mac-Nutzern zunächst weiterhin der Gefahr ausgesetzt, dass Angreifer Daten kompromittieren oder verändern konnten, weil die Echtheit einer verschlüsselten Verbindung nicht überprüft wurde.

Der iPhone-Hersteller erwähnte den Fix nur knapp in in einem Abschnitt zur Datensicherheit von OS X Mavericks 10.9 und 10.9.1. Ein Angreifer war demnach in der Lage, Daten abzufangen oder zu ändern, auch wenn eine Verbindung eigentlich durch SSL/TLS geschützt sein sollte. Das Problem sei behoben worden, indem die fehlenden Schritte zur Überprüfung wiederhergestellt wurden.

Folgenreich wiederholtes "Goto fail" in Apples QuellcodeFolgenreich wiederholtes „Goto fail“ in Apples Quellcode

Sicherheitsforscher hatten wenig Verständnis für die verzögerte Sicherheitsaktualisierung. „Wer immer sich bei Apple entschied, über vier Tage mit 10.9.2 zu warten, um die Schwachstelle in OS X zu beheben, ist eine Fehlbesetzung in dieser Position“, brachte es der langjährige Apple-Nutzer und CryptoSeal-Gründer Ryan Lackey in einem Tweet auf den Punkt. „Apple braucht eine grundlegend veränderte Unternehmenskultur, um sein ‚Goto fail‘ zu beheben“, kommentierte ZDNet.com-Autor Stilgherrian. Er monierte dabei insbesondere, dass wesentliche SSL-Tests schlicht unterlassen wurden.

Als „Goto fail“-Lücke wurde die Schwachstelle bekannt, weil Apples Programmcode einen relativ simplen, aber doch schwerwiegenden Fehler aufwies. Die Sprunganweisung „Goto fail“ wurde an einer Stelle versehentlich doppelt eingefügt – und damit die vorgesehene Überprüfung der digitalen Signatur verhindert. Das ermöglichte Man-in-the-Middle-Angriffe mit weitreichenden Folgen, wie Sicherheitsforscher Aldo Cortesi mit dem modifizierten Tool Mitmproxy demonstrierte. „Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates“, beobachtete er.

Die Lücke entstand aus Apples angepasster Implementation des Sicherheitsstandards SSL/TLS. Sie betraf daher Daten, die mit Safari, Mail, iCloud oder anderen Anwendungen Apples übertragen wurden, auch wenn die Verbindung als sicher verschlüsselt galt. Nicht betroffen waren hingegen Anwendungen, die sich nicht auf Apples Implementation verließen – Googles Chrome und der Mozilla-Browser Firefox etwa wiesen die Schwachstelle nicht auf.

[mit Material von Declan McCullagh, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

4 Kommentare zu Apple stopft „Goto fail“-Lücke in Mac OS

Kommentar hinzufügen
  • Am 27. Februar 2014 um 8:57 von Frank Schulten

    Wow nach 4 Tagen haben sie es geschafft… Am Beispiel dieser Lücke kann man sehen, das Apple NULL Sicherheitskultur hat. Warum?
    1. Die selbe Lücke in iOs wurde 4 Tage eher gefixt und war damit bekannt. Apple hat seine Mac Nutzer damit selber einem zero day exploit ausgeliefert! Worst case!
    2. JEDER automatische Code Check meldet hier „Unreachable code“, weil der Code hinter dem zweiten goto fail NIE erreicht wird. Solche Fehler findet man automatisch, die kommen NIE im Produktiv System an. Oder hat Apple so etwas etwa nicht?
    3. Ein automatischer Test der SSL/TSL Elemente mit einer invaliden Signatur hätte sofort fehlschlagen müssen, weil die Verbindung zustande kommt. Oder TESTET Apple etwa nicht?
    4. Wer immer diese Stelle programmiert hat, gehört gefeuert. Zum einen ist es verdammt schlechter Stil, die Ausdrücke hinter einem if nicht in {} zu klammern. Dann wäre hier gar nichts passiert, weil dann einfach nur das zweite goto fail nie angesprungen worden wäre. Zum anderen ist die Verwendung von goto eigentlich seit den 90ern verpönnt, aber na ja Apple halt.

    Das schlimme an dieser Lücke ist nicht, das sie passiert ist, sondern wie sie zustande gekommen ist und wie Apple damit umgegangen ist. Es zeigt ganz eindeutig das Apple keinerlei Sicherheitskultur hat!

    • Am 27. Februar 2014 um 10:24 von Trailsuender

      Was bin ich froh, machen das alle anderen wie Microsoft und Konsorten soooooo viel besser!

      • Am 27. Februar 2014 um 11:02 von Frank Schulten

        Seit wann sind den die anderen Masstab für Apple? Apple möchte Premium sein und bei den Preisen sind sie es zumindest auch. Also geht es nicht darum, was andere machen… Oder vergleicht sich Apple jetzt mit Murksbuden wie Adobe?

      • Am 4. November 2014 um 0:20 von nMP

        Du meinst, weil Microsoft sogar Zugangsdaten der Nutzer gerne mal unverschlüsselt überträgt?

        „Datenverkehr (mit mitmproxy) abgehört/untersucht:

        Bei jeder Aktion, zu der das Smartphone Verbindung mit dem Internet aufnimmt, wird der komplette Datenverkehr aufgezeichnet und lässt sich auch später noch analysieren. Bei unseren ersten Versuchen im Dezember letzten Jahres stellte sich Microsofts Skydrive als am wenigsten gesicherte Lösung dar. Beim Start der App übertrug diese die kompletten Account-Daten im Klartext, also die E-Mail-Adresse und das Passwort. Hier hat Microsoft inzwischen halbherzig nachgebessert. Die E-Mail-Adresse wird weiter im Klartext in einem Cookie übertragen.

        http://www.macwelt.de/news/So-sicher-sind-Cloudapps-8643029.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *